本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、トランスペアレントモードで HA を構成した際の管理用 IP アドレスの設定方法について説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
トランスペアレントモードでの管理 IP アドレスについて
トランスペアレントモードの FortiGate では、各インターフェースに対して IP アドレスを設定できません。
そのため、管理 IP アドレスはシステム設定にて FortiGate 自体に対して一つのアドレスだけを設定します。
その設定箇所はconfig system settingsのmanageipです。
config system settings
set manageip 10.1.1.100/255.255.255.0
endHA では管理 IP アドレス設定は同期される
トランスペアレントモードの HA では、上で説明した管理 IP アドレスの設定はプライマリ機とセカンダリ機で同期されて同じ設定になります。
よって、manageipで設定したアドレス宛にアクセスをした場合、常にプライマリ機に接続されることになります。
「管理インターフェースの予約」を設定する
NAT モードの HA では、機器別に独自の IP アドレスを持たせて各機器にアクセスできるようにするために、HA 設定における「管理インターフェースの予約」を設定します。
トランスペアレントモードでも同様に HA 設定の中で「管理インターフェースの予約」を行うことができます。
管理インターフェースとして設定したインターフェースはルーテッドポート(L3 インターフェース)となります。よって当該インターフェースに対しては IP アドレスを設定することができます。
GUI では「システム > HA」から表示できる設定画面にて、「管理インターフェースの予約」という項目があるためそこで設定ができます。
この設定画面では管理インターフェースとして割り当てる物理インターフェースと、管理インターフェースのゲートウェイアドレスと、必要に応じて宛先サブネットを設定できます。
CLI で設定する場合は以下の項目で設定できます。
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "internal5"
set dst 0.0.0.0 0.0.0.0
set gateway 10.1.1.211
next
end
end管理インターフェースの IP アドレスの設定
NAT モードでは管理インターフェースの IP アドレスは GUI の対象インターフェースの設定画面で設定することができます。一方、トランスペアレントモードではインターフェース設定画面に IP アドレスの設定項目が表示されず設定ができません。このため管理インターフェースの IP アドレスは CLI で設定する必要があります。
設定方法は NAT モードでの方法と同様です。必要に応じて管理アクセス設定 (allowaccess) も行います。
config system interface
edit "internal5"
set ip 10.1.1.101 255.255.255.0
set allowaccess ping https ssh
next
end管理インターフェースにはプライマリ機とセカンダリ機で異なる IP アドレスを設定できるため、それぞれで異なる IP アドレスを設定します。
トランスペアレントモード HA では 3 つのアドレスが必要
以上の内容からトランスペアレントモードの HA では以下の 3 つのアドレスを FortiGate に設定する必要があることになります。
config system settingsのmanageip- プライマリ機の管理インターフェースの IP アドレス
- セカンダリ機の管理インターフェースの IP アドレス
なお、①と②③で同じセグメントの IP アドレスを設定することも可能です。管理インターフェースは内部的には root VDOM とは別の VDOM (vsys_hamgmt) に所属するインターフェースとなっているためです。
以上です。
FortiGate 記事一覧は以下記事でチェック
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
コメント